Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Cumplimiento de CMMC > Regla Final de CMMC 2.0: Lo que los Contratistas del Departamento de Defensa Necesitan Saber
CMMC 2.0 Final Rule What DoD Contractors Need to Know

Regla Final de CMMC 2.0: Lo que los Contratistas del Departamento de Defensa Necesitan Saber

by Danielle Barbour updated noviembre 13, 2024 Cumplimiento de CMMC
Reading Time: 5 minutes

La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) 2.0 representa una iniciativa significativa del Departamento de Defensa de EE. UU. (DoD) para fortalecer la ciberseguridad en toda la Base Industrial de Defensa (DIB). Introducido originalmente para garantizar que los contratistas cumplan con los estándares mínimos de ciberseguridad, CMMC tiene como objetivo proteger información sensible, como información controlada no clasificada (CUI) e información de contratos federales (FCI), de amenazas cibernéticas. Dada la creciente complejidad de estas amenazas, CMMC ha evolucionado hacia un marco simplificado, haciéndolo más accesible para pequeñas y medianas empresas.

El 11 de octubre de 2024, el DoD publicó el CMMC 32 CFR para inspección pública, detallando las nuevas normas bajo CMMC 2.0. Esta actualización crítica se publicará oficialmente en el Registro Federal el 15 de octubre de 2024. El programa actualizado reduce los cinco niveles previos de requisitos de ciberseguridad a tres, facilitando que las empresas evalúen y mejoren sus prácticas de ciberseguridad. Los próximos cambios impactarán a todos los contratistas y subcontratistas dentro de la cadena de suministro del DoD, subrayando la importancia de medidas robustas de ciberseguridad para proteger los intereses de seguridad nacional.

Fechas Clave y Cronograma para la Implementación de CMMC 2.0

La publicación del CMMC 32 CFR para inspección pública el 11 de octubre de 2024 marca un hito crítico en los esfuerzos del Departamento de Defensa para mejorar la ciberseguridad dentro de su red de contratistas. Esta publicación preliminar permite a las partes interesadas revisar la normativa actualizada antes de su publicación oficial, programada para el 15 de octubre de 2024 en el Registro Federal. Este cronograma destaca el compromiso del DoD de garantizar que todos los contratistas estén adecuadamente preparados para los próximos cambios.

La fecha de entrada en vigor anticipada para CMMC 2.0 es el 16 de diciembre de 2024, exactamente 60 días después de su publicación. Este período proporciona a los contratistas una breve ventana para familiarizarse con los nuevos requisitos y comenzar a prepararse para cumplir con ellos. El DoD ha delineado una estrategia de implementación gradual que hará cumplir estos requisitos en su base de contratistas, permitiendo que las empresas se adapten y aseguren el cumplimiento de los nuevos estándares de ciberseguridad.

Bajo este enfoque gradual, CMMC 2.0 se introducirá en etapas, comenzando con autoevaluaciones para medidas básicas de ciberseguridad y avanzando hacia evaluaciones más rigurosas para contratistas que manejan información sensible. Esta implementación incremental proporciona un enfoque equilibrado, dando tiempo a los contratistas para lograr el cumplimiento mientras se refuerzan los objetivos generales de ciberseguridad del DoD.

Conclusiones Clave

  1. Marco Simplificado

    CMMC 2.0 reduce los niveles de madurez en ciberseguridad de cinco a tres, facilitando el cumplimiento para los contratistas del DoD, especialmente para pequeñas y medianas empresas.

  2. Cronograma Crítico

    El cronograma de implementación incluye una fase de inspección pública que comienza el 11 de octubre de 2024, con una publicación oficial el 15 de octubre de 2024 y una fecha efectiva el 16 de diciembre de 2024, dando a los contratistas una breve ventana para prepararse.

  3. Evaluaciones Escalonadas

    Se requiere que los contratistas pasen por diferentes niveles de evaluación según la sensibilidad de la información que manejan, desde autoevaluaciones para higiene básica hasta evaluaciones dirigidas por el DoD para protecciones de nivel experto.

  4. Impacto en los Contratistas

    El cumplimiento con CMMC 2.0 es crucial para mantener la elegibilidad para contratos del DoD, con un enfoque simplificado que apunta a reducir la carga de cumplimiento y los costos asociados para las pymes.

  5. Medidas de Seguridad Mejoradas

    El marco actualizado enfatiza la protección de información sensible, como la información no clasificada controlada (CUI), mediante la adhesión a los controles de NIST SP 800-171 y otras prácticas avanzadas de ciberseguridad.

Principales Cambios en CMMC 2.0

CMMC 2.0 introduce un marco de evaluación simplificado, reduciendo los cinco niveles originales de madurez en ciberseguridad a tres. Esta estructura simplificada refleja la intención del DoD de hacer que el cumplimiento sea más accesible mientras se mantienen estándares sólidos de seguridad.

Nivel 1 de CMMC: Higiene Básica de Ciberseguridad

Nivel 1 de CMMC es una certificación de nivel de entrada diseñada para contratistas que manejan información de contratos federales (FCI). Consiste en 15 prácticas básicas de ciberseguridad, que se pueden evaluar a través de una autoevaluación anual.

Nivel 2 de CMMC: Higiene Avanzada de Ciberseguridad

Los contratistas que manejan información no clasificada controlada (CUI) están en el Nivel 2 de CMMC. Este nivel requiere adherirse a los 110 controles de seguridad establecidos en NIST 800-171.

Nivel 3 de CMMC: Higiene Experta de Ciberseguridad

Nivel 3 de CMMC es el nivel más alto de certificación, reservado para contratistas que manejan CUI altamente sensible. Este nivel requiere evaluaciones dirigidas por el DoD.

Impacto de CMMC 2.0 en las PYMES

El marco simplificado de CMMC 2.0 reduce significativamente la carga de cumplimiento para pequeñas y medianas empresas, que suelen tener recursos limitados en comparación con los contratistas más grandes.

Otra ventaja para las pymes es la opción de utilizar servicios en la nube para cumplir con los requisitos de ciberseguridad de CMMC 2.0.

Requisitos de Evaluación y Estándares de Cumplimiento

En el núcleo de los requisitos de evaluación de CMMC 2.0 están los controles de NIST SP 800-171, que delinean prácticas de seguridad para proteger el CUI.

Para el Nivel 2 de CMMC, los contratistas deben cumplir con los 110 controles especificados en NIST SP 800-171, que se valida a través de una evaluación independiente realizada cada tres años.

Consejos para Lograr la Certificación de CMMC

Lograr la certificación CMMC 2.0 implica un proceso estructurado adaptado a los requisitos específicos de cada nivel.

Para prepararse, los contratistas deben:

  • Revisar los controles NIST SP 800-171 pertinentes.
  • Realizar autoevaluaciones para identificar vulnerabilidades.
  • Utilizar recursos de la CMMC Accreditation Body (CMMC AB).

Implicaciones para la Base Industrial de Defensa (DIB)

El marco CMMC 2.0 es crucial para proteger el CUI y FCI dentro de la DIB. El cumplimiento de los requisitos de CMMC es esencial para mantener la elegibilidad para contratos del DoD.

Rol de la Retroalimentación Pública e Industrial en la Configuración de CMMC 2.0

El desarrollo de CMMC 2.0 estuvo fuertemente influenciado por la retroalimentación tanto del público como de varias partes interesadas de la industria.

CMMC 2.0 y el Futuro de la Ciberseguridad para los Contratistas del DoD

A medida que CMMC 2.0 entra en vigor, establece el escenario para un panorama en evolución de requisitos de ciberseguridad dentro del sector de defensa.

En el futuro, podríamos ver que el marco CMMC se expanda más allá de su alcance actual.

Cómo Kiteworks Apoya su Camino hacia el Cumplimiento de CMMC 2.0

La introducción de CMMC 2.0 marca un momento clave para la DIB, simplificando los requisitos de cumplimiento mientras refuerza la importancia de la ciberseguridad en el sector de defensa.

Para las organizaciones que buscan acelerar su camino hacia el cumplimiento del Nivel 2, Kiteworks ofrece una solución efectiva.

Kiteworks permite un cumplimiento rápido de CMMC 2.0 con capacidades y características principales que incluyen:

  • Certificación con estándares clave de cumplimiento del gobierno de EE. UU.
  • Validación FIPS 140-2 Nivel 1
  • Autorizado por FedRAMP para CUI de Impacto Moderado
  • Cifrado AES de 256 bits para datos en reposo, TLS 1.2 para datos en tránsito

Para obtener más información sobre Kiteworks para el cumplimiento de CMMC, solicite una demostración personalizada hoy.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks